We are on the move! This September this site will redirect to a new UL Solutions website. Stay tuned!
Assessments der funktionalen Sicherheit im Automobilsektor Assessments bewerten die funktionale Sicherheit von Elektronikprodukten, bevor Straßenfahrzeuge in die Serienproduktion gehen. Erfahren Sie mehr über diese erfolgsentscheidende Bewertungsmethode in unserem YouTube-Tutorial.
Zurück zu FunktionssicherheitDie umfangreichen Informationen zum Assessment der funktionalen Sicherheit können Sie in unserem kostenlosen Whitepaper herunterladen.
Es ist entweder vorgeschrieben oder es ist übliche Praxis, dass sicherheitsbezogene Elektronik-Komponenten von einer unabhängigen Instanz begutachtet werden, bevor sie serienmäßig in Straßenfahrzeugen verbaut werden dürfen. Warum das notwendig ist, ist offensichtlich: Das Vertrauen in die Sicherheit der Fahrzeuge soll erhöht werden, indem eine unabhängige Person die Sicherheit nach bestimmten Kriterien bestätigt. Übrigens ist meine Firma Kugler Maag Cie von der "Deutsche Akkreditierungsstelle" (DAkkS) für solche Assessments offiziell akkreditiert.
Das Thema Assessment der funktionalen Sicherheit ist einerseits für die Entwickler relevant, da sie nachweisen müssen, dass ihr Produkt sicher ist. Es ist aber auch für Assessoren relevant, da sie es durchführen und mit ihrem Namen für das Assessmentergebnis geradestehen müssen. Sie werden also von diesem Video profitieren, egal ob Sie ein Assessor oder ein Entwickler sind.
Zielsetzungen, Anforderungen und Hinweise zu Assessments zur funktionalen Sicherheit finden sich in der ISO 26262:2018 im Teil 2. In diesem Video werde ich zunächst die Inhalte dieses ISO-Standards zusammenfassen. Danach diskutiere ich besonders interessante Aspekte im Detail. Dies sind
Immer geht es mir dabei darum, Ihnen praktische Hinweise zu geben, die Ihnen konkret helfen. So werde ich auch einige Schlüsselerkenntnisse formulieren, die Sie für Ihre Arbeit mitnehmen sollten.
Benötigen Sie Unterstützung für Ihr Projekt? Wir sind Ihre Ansprechpartner rund um Managementberatung und Verbesserungsprogramme in der Elektronikentwicklung.
Steffen Herrmann und das Sales-Team
Die ISO 26262 empfiehlt, das Assessment der funktionalen Sicherheit stufenweise (progressively) parallel zur Entwicklung durchzuführen. Dies ist ein sehr wichtiger Ratschlag, den Sie unbedingt umsetzen sollten. Aber wie?
Dazu möchte ich verschiedene Fälle unterscheiden.
Neuentwicklung des Produkts
Dem Fahrzeughersteller würde ich empfehlen, das erste Zwischenassessment nach der Gefährdungs- und Risikoanalyse und der Erstellung des Sicherheitsplans zu machen. Das erste Zwischenassessment eines Zulieferers würde ich nach der ersten Version seines Sicherheitsplans machen. Eine Alternative dazu wären auch Bestätigungsreviews der Gefährdungs- und Risikoanalyse und des Sicherheitsplans. Ein zweites Zwischenassessment wäre nach der Erstellung des Sicherheitskonzepts sinnvoll, um hier nicht später einen komplett anderen Ansatz wählen zu müssen. Ein drittes Zwischenassessment empfehle ich zu einem Zeitpunkt, wo die Steuergeräte bereits in Vorserienfahrzeugen verbaut werden, was typischerweise einem Assessment des C-Musters entspricht. Das abschließende Assessment bewertet das Produkt, so wie es in Serie gefertigt werden soll, also vor der Produktionsfreigabe.
Funktionale Weiterentwicklung eines bestehenden Produkts:
Wenn dabei das Sicherheitskonzept unverändert bleibt, dann genügen ein oder zwei Zwischenassessments und ein abschließendes Assessment.
Einfaches Projekt (beispielsweise wird lediglich die Kalibrierung eines Produkts auf ein neues Fahrzeug vorgenommen):
Hier genügt ein einziges abschließendes Assessment.
Was lernen wir daraus?
Die Assessmentplanung ist stark von der Neuheit des Produkts abhängig. Überlegen Sie sich genau, wie hoch das Risiko ist, wenn Sie den Assessor nicht früher, sondern später einbinden und weniger Zwischenassessments machen.
Führen Sie ein Zwischenassessment durch, wenn eine spätere Assessorenkritik Ihnen hohe Kosten verursachen würde.
Was ist bei der Beauftragung eines Assessments der funktionalen Sicherheit zu beachten?
Ein Ziel muss erreicht werden, bevor ein Assessment als fest vereinbart zwischen Auftraggeber und Assessor gilt: Beide Parteien müssen ein gemeinsames Verständnis über das Assessment haben.
Dieses Verständnis erreicht man in aller Regel aber nicht durch eine simple Abfolge von Ausschreibung, Angebot und Assessment-Beauftragung. Fehlt eine gemeinsame Klärung einer Reihe von Themen, so ist das kein Modell für eine erfolgversprechende Durchführung zur Zufriedenheit beider Parteien. Interaktion muss stattfinden. Insbesondere müssen folgende Fragestellungen geklärt sein:
Ich rate Ihnen, sich ein Template mit all diesen Fragen zu erstellen. Optional: Machen Sie die ausgefüllte Fragenliste zu einem Anhang des kommerziellen Vertrags.
Zunächst rate ich Ihnen, den Assessmentprozess aufzuschreiben. Er könnte beispielsweise so strukturiert sein, wie Sie in der folgenden Grafik sehen.
Der Prozess unterscheidet zwischen der Vorbereitungsphase (preparation phase), der Durchführung (implementation), dem Bericht (reporting) und einer optionalen Korrektur (correction). Die Details der Grafik zu erläutern, würde an dieser Stelle jedoch zu weit führen.
Ich empfehle Ihnen, zum Prozess eine Reihe von nützlichen Templates und Checklisten zu schaffen. Dazu könnten zum Beispiel die folgenden gehören:
So nun zur Frage, wie das Assessment praktisch ablaufen kann.
Ich empfehle, Schlüsselarbeitsprodukte offline vor einer Onsite-Phase zu prüfen. Dazu würde ich den Sicherheitsplan, Development Interface Agreements, Impact Analysen, das Sicherheitskonzept und den Sicherheitsnachweis (safety case) zählen.
Für die Onsite-Phase empfehle ich Ihnen eine Serie von Interviews zu den einzelnen Teilen der ISO 26262. Im Interview lässt der Assessor sich erläutern, wie die ISO 26262 erfüllt wurde. Dabei werden Nachweise durchgesprochen. Als Assessor muss ich die für die Beurteilung relevanten Stellen interaktiv mit den beteiligten Personen herausarbeiten. Werden Defizite erkannt, so hält man diese idealerweise gemeinsam fest. Das schafft Akzeptanz für das Assessmentergebnis. Gegebenenfalls nimmt man sich als Assessor aber auch außerhalb des Interviews Zeit, Dokumente detailliert zu prüfen.
Als Vorgehensweise für ein abschließendes Assessment möchte ich empfehlen, den Sicherheitsnachweis sukzessive durchzusprechen. Denn zu diesem Zeitpunkt muss der Sicherheitsnachweis ja vorliegen. Die Aufgabe des Assessors ist es zu verstehen, wie die Entwickler die Sicherheit begründen. Beachten Sie, dass es eben genau nicht die Aufgabe des Assessors ist, die Argumente für die Sicherheit zu liefern. Das ist Aufgabe der Entwicklung. Aufgabe des Assessors ist es, die Argumentation zu bewerten.
Der wesentlichste Unterschied zwischen einem Audit der funktionalen Sicherheit und einem Assessment der funktionalen Sicherheit besteht für mich darin, dass beim Assessment die technische Lösung zum Umgang mit systematischen Fehlern und zufälligen Hardwarefehlern vom Assessor verstanden und bewertet werden muss. Idealerweise liegen zum abschließenden Assessment die Bestätigungsreviews (confirmation reviews) der Schlüssel-Arbeitsprodukte und der Auditbericht zu den Prozessen vor, so dass der Assessor diese nur noch formal prüft und sich ansonsten aber auf die Sicherheitsmaßnahmen konzentrieren kann. Durchaus üblich sind aber auch Assessments, bei denen der Assessor auch Bestätigungsreviews durchführt, da er die notwendige Unabhängigkeit hat. Dann muss entsprechend mehr Zeit eingeplant werden.
Über eines müssen sich alle Beteiligten im Klaren sein. Ein Assessor kann Arbeitsprodukte und Software nicht so intensiv nach allen Kriterien prüfen, wie es durch die Reviews und Tests im Laufe der Entwicklung erfolgen muss. Er ist nicht der Spezialist für das Produkt und kann in einem Assessment auch nicht die Qualitätssicherung der Entwicklung ersetzen.
Wichtig ist es, den Status der gelieferten Nachweise (evidences) zu verstehen. Wird ein Dokument nur im Status ‘Entwurf‘ vorgelegt? Was sind dessen Inhalte dann wert? Ist es gereviewt und freigegeben? Gibt es Reviewdokumentation? Sind die richtigen Reviewkriterien angewendet worden? Waren notwendige Rollen intensiv genug eingebunden? Gibt es vielleicht sogar ein Bestätigungsreview einer unabhängigen Person?
Große Probleme haben Firmen häufig mit einem sauberen Versions- und Konfigurationsmanagement. Für ein abschließendes Assessment zur Produktionsfreigabe müssen Sie als Assessor prüfen, dass Versionen konsistent sind.
Bezieht sich das vorgelegte Bestätigungsreview tatsächlich auf die freigegebene Version des Sicherheitsnachweises? Beziehen sich die positiven Testergebnisse tatsächlich auf die Software und die Kalibrierungsdaten, die in der Baseline für die Produktionsfreigabe enthalten sind?
Wenn es zum Beispiel aufgrund von Reisebeschränkungen nicht möglich ist, vor Ort bei der Entwicklung zu assessieren, dann kommen als Ersatz auch Video-Sessions in Frage. Planen Sie dann aber ganz anders: Kürzere Interviews, längere Pausen. Insgesamt wird das Assessment länger dauern.
Im Bericht sollte stehen, wie Sie als Assessor vorgegangen sind. Die Bewertungskriterien sollten erläutern sein. Beschreiben Sie, was Sie geprüft haben. Welche Dokumente Ihnen in welcher Version vorgelegt wurden? Damit wird klar, worauf Ihre Bewertung basiert.
Sie müssen die wesentlichen Aussagen zu den einzelnen Kriterien der ISO 26262 ausformulieren. Für den Leser des Berichts muss klar sein, ob ein Punkt ein Kommentar, eine Übereinstimmung oder eine Abweichung vom Kriterium ist.
Der abschließende Assessmentbericht muss eine von drei möglichen Beurteilungen enthalten:
In diesem Tutorial beschäftigen Sie sich damit, wie sich das Management der funktionalen Sicherheit über den gesamten Sicherheitslebenszyklus erstreckt – auf Organisationsebene, in den Projekten und in der Zeit nach dem Produktionsbeginn.